发布时间:2024-11-28 08:31:50被阅览数:440 次信息来源:《山西档案》
作者:姚静 加小双
摘要:数据治理与隐私保护对于筑牢国家数字安全防线、保护个人数据隐私具有重要意义,共同为数字中国建设保驾护航。采用政策分析法、实地调查法,对加拿大政府数据治理与隐私保护的相关法律法规及实践情况进行考察,发现加拿大在数据与隐私保护立法、多重特设制度组合与调用、隐私监管机构设立的专业化、多方利益相关者的配合协作、数据获取与隐私保护的平衡等方面具有鲜明特点。结合我国实际情况,进行辩证思考并得出加拿大数据治理与隐私保护行动对我国的经验借鉴:将隐私保护纳入数据法体系、组建多重制度作为灵活补充、强化监管机构的专业性职能、积极调动多方主体协同合作、平衡信息获取与隐私保护的需求。
关键词:数据治理;隐私保护;信息获取;个人信息保护
习近平总书记在党的二十大报告中强调要“加快建设制造强国、质量强国、航天强国、交通强国、网络强国、数字中国”,这就需要提升数据安全治理效能,多措并举,维护数据安全,为数字中国建设保驾护航[1]。数据治理与隐私保护相辅相成,二者共同为构建安全、合规、高效、健全的数据治理体系服务。基于数据治理过程中保护个人信息的合规性要求、数据分类和访问控制的共同结合点、数据和隐私安全风险评估和管理的需要,以及对于数据透明度和数据保护责任的共同追求、原则和强调,有必要深入理解数字时代的数据与隐私议题。2021年10月,网络空间治理与数字经济法治(长三角)研究基地发布《理解大数据:数字时代的数据与隐私》研究报告。该报告指出了数据治理与隐私保护的5个核心问题,其中就包括全球数据治理法律法规执行过程中的重要挑战[2],这充分说明加强全球数据治理和隐私保护相关法律法规问题研究的必要性和紧迫性。
笔者在CNKI、Springer等数据库以“(数据)AND(隐私)AND(法律)”为检索式进行篇名检索,经筛选后得到相关中文文献53篇,外文文献495篇(检索日期截至2024年5月20日),已有研究可归为以下几方面。其一,数据治理与隐私保护的法律挑战与对策。相关学者提出的法律挑战包括法律观念落后、法律理论研究不完善、立法保护和法律实施不充分、法律责任不明确等,并表示在数据治理与隐私保护的政策法规上开展前瞻性研究,探索数据治理与隐私保护的中国原则、制度与框架已刻不容缓。其二,数据法律政策对隐私保护影响的分析。有学者对中国[3]、美国[4]、爱尔兰[5]、韩国[6]、日本[7]、新加坡[8]、欧盟[9]、非盟[10]等主要国家或组织的数据保护法律内容进行了解读。其三,关于大数据背景下的具体隐私问题的研究。有学者对大数据隐私的身份谬论及其法律对策[11]、政府数据开放中的个人隐私保护法律问题[12]、大数据时代隐私的群体形态及法律回应[13]、被遗忘权[14]、人事档案[15-16]、病例档案[17]、居民健康档案[18]的数据安全与隐私保护问题等展开了讨论。
总体而言,已有研究以大数据为时代背景,从法律视角论证了数据治理与隐私保护问题的重要意义和国际趋势,为本研究做了基础性铺垫,但还缺乏对国际先进经验和最佳实践的深入解析,对“中国方案”的启示性思考不够充分。加拿大在数据治理与隐私保护方面拥有较为成熟和全面的隐私保护法律框架,且长期践行多样化的隐私保护实践,其隐私专员办公室作为监督机构进行独立运作的模式成为特色,具有较高的国际认可度和影响力。因此,笔者实地考察加拿大安大略省政府和消费者服务部、安大略省档案馆等政府机构的数据治理与隐私保护行动,分析其首席隐私官、信息安全官和档案管理员的访谈内容,并选取相关法律法规作为样本,考察前沿动态、总结经验镜鉴,以拓展和丰富相关研究,为我国数据治理与隐私保护行动提供参考。
1 加拿大数据治理与隐私保护的前沿动态
加拿大建立了一系列法律法规和专业机构保障数据安全和隐私权利,在相关问题立法、多重特设制度、隐私监管机构设置、利益相关者关系处理、信息获取与隐私保护平衡等方面颇具亮点。
1.1 数据治理与隐私保护的立法
加拿大关于数据治理与隐私保护的法律法规较为完善,自上而下形成了联邦级、省级、市级的相关法律体系,如表1所示。需要说明的是,笔者选取安大略省作为省级立法代表样本的原因如下。
表1 加拿大数据治理与隐私保护的立法情况
经济方面,安大略省是加拿大最大的经济体,经济规模排名第一;政治方面,安大略省选举人口数在联邦议会中占据较大比例,对联邦政治和政策制定的影响力较大;法律方面,安大略省相关法律较为完备,而魁北克、阿尔伯塔和不列颠哥伦比亚等省份尚未制定隐私法。
1.1.1 AIA & PA
AIA和PA是加拿大两项联邦级的法律,共同构成加拿大政府信息管理的框架,在信息数据治理和隐私方面各有侧重,发挥着互补作用。从治理目标来看,AIA旨在从积极方面促进信息公开获取,PA旨在从消极方面保护个人隐私;从治理对象来看,AIA针对的是政府信息的访问,PA针对的是个人信息的隐私和保护。与其他国家信息获取法和隐私法相对独立的做法不同,AIA和PA在加拿大通常作为“信息获取和隐私”(Access to Information and Privacy,ATIP)行动倡议的概念一齐出现。
1.1.2 PIPEDA & DPA
PIPEDA是加拿大联邦级法律,包含个人信息的收集、使用、披露和保留等方面的规定。从治理目标来看,PIPEDA旨在平衡个人信息保护和商业利益之间的关系,确保个人信息在数字环境中得到保护和处理。从治理范围来看,PIPEDA仅适用于私营部门在商业活动中处理个人信息,所有在加拿大运营并在商业活动过程中处理跨越省或国家的个人信息的企业均受PIPEDA约束。从治理定义来看,PIPEDA规定的“个人信息”是关于可识别个人的任何形式的客观事实或主观信息,如年龄、姓名、血型、纪律处分、信用记录等,这些个人信息在被收集后的100年内或个人死亡后20年内受到保护。
DPA是针对PIPEDA进行一些重要修订的加拿大联邦级法律,促使私营部门重新思考数据安全实践和数据保护工具。DPA包括3项关键的新义务:记录保存、报告和通知。其一,记录保存意味着私营部门需要保存数据泄露事件发生之日起24个月以内的所有记录,并向信息和隐私专员提供记录的访问权限或副本;其二,如果私营部门认为数据泄露事件存在对个人造成重大伤害的风险,就必须向信息和隐私专员发送编写的情况报告;其三,如果私营部门认为数据泄露行为已经对个人造成重大伤害,除了向信息和隐私专员报告外,还必须通知受影响的个人。
1.1.3 FIPPA
FIPPA是加拿大安大略省的法律。从治理目标来看,FIPPA既保护公民获取政府机构信息的访问权利,又保护其对政府机构持有的个人信息的隐私权利。一方面,FIPPA规定了政府机构如何处理信息请求以及信息的披露,确保公众有权访问政府机构的信息,提升政府的透明度和问责力度;另一方面,FIPPA强调了个人隐私的重要性,并规定了相应的保护措施,即未经本人同意或在当事人死亡后30年内不得访问这些信息。从治理程序来看,政府机构必须在收到请求后的30天内给出答复和说明,被拒绝访问者有权在30天内向信息和隐私专员提出上诉。
1.1.4 PHIPA
PHIPA是加拿大安大略省的法律。从治理目标来看,PHIPA中制定了收集、使用和披露个人健康信息的规则以保护其机密和隐私,并规范和促进医疗保健服务。从治理对象来看,PHIPA专注于保护个人健康信息,规范了对个人健康信息拥有保管权或控制权的“健康信息保管人”(Health Information Custodian,HIC)、医疗保健提供者、公共健康机构等对个人健康信息的处理方式。存放于档案室的个人健康信息在个人死亡后50年以内都受到保护,该类记录有访问限制。
1.1.5 MFIPPA
MFIPPA是适用于加拿大安大略省下属市级的法律。一方面,安大略省下属各市制定MFIPPA意味着地方政府机构具有一定自主权;另一方面,MFIPPA与FIPPA的内容与结构在整体上保持一致,通常情况下MFIPPA可视为FIPPA的等效副本。然而,二者在具体的适用规则和运作方式上存在细微差异。例如,FIPPA第25(1)条规定,省级机构应进行“所有必要调查”,而MFIPPA第18(2)条仅要求市政机构进行“合理”调查。对此,存在两种观点:一种观点是因为立法者认为FIPPA对省级机构要求太多,所以在MFIPPA中对市级机构的要求予以淡化;另一种观点则是立法者对省级机构的期望更多,鼓励其投入更多精力[19]。
1.2 多重特设制度的组合与调用
除了以立法方式明确数据治理与隐私保护的法律法规,加拿大政府还通过组合与调用“多重特设制度”(multiple ad hoc regimes)来进一步巩固并强化数据治理和隐私保护的效果,以达到法律法规之外的补充效果。加拿大政府用于数据治理与隐私保护的多重特设制度包括但不限于手册(manual)、指 令(directive)、政 策(policy)、指 南(guidance)、协议(protocol)、命令(order)、争议问题程序(contentious issues process)。例如,《信息自由和隐私保护法手册》(FIPPA Manual)是由加拿大政府和消费者服务部制定的,与FIPPA和MFIPPA等法案配套的一般性管理手册[20]。
此外,加拿大政府还制定了许多满足公众信息访问需求的补充方案。如“隐私影响评估程序”(PIA Process),在新政策、项目、制度或技术实施前,评估该程序对个人隐私的潜在影响并提出相应的管理措施;再如建立eFOIRM案例管理系统,以最小风险为安大略省政府提供完整的集成eFOIRM解决方案[21]。由此可见,多重特设制度为加拿大政府的数据治理与隐私保护行动提供了多方位、多层次的支持,避免了因法律法规的滞后性、缺乏灵活性导致数据治理与隐私保护效果受到阻碍。
1.3 隐私监管机构设立的专业化
联邦层面,加拿大设立了隐私专员办公室(Office of the Privacy Commissioner of Canada,OPC)。1983年,PA通过后,OPC成立,并于2001年将职责扩大到PIPEDA约束的私营部门,即OPC遵循的法律包括PA和PIPEDA。OPC的任务包括调查投诉并发布报告;就隐私影响评估提供意见;提出隐私保护的补救建议;提供法律和政策分析、专门的知识帮助,指导议会审查不断演变的立法;针对尚未解决的问题,向联邦法院提起法律诉讼;回应寻求信息和指导的询问,通报新出现的隐私问题;开展独立审计和审查活动,评估PA和PIPEDA遵守情况。
各省层面,加拿大设置了信息和隐私专员(Information and Privacy Commissioner,IPC)。以安大略省为例,IPC由立法议会任命并向其报告,且独立于政府,负责监督安大略省的信息获取和隐私保护行动。IPC遵循的法律包括FIPPA、PHIPA、MFIPPA等,任务包括解决信息获取的上诉案件;调查侵犯隐私的投诉;对政府立法和计划发表评论;审查隐私政策和信息管理实践;对访问和隐私问题进行研究;推动利益相关者了解安大略省的信息获取和隐私法。
加拿大通过设立专业化的联邦级和省级的隐私权监管机构,督促加拿大政府数据治理和隐私保护的议程得以有效执行和落实。联邦层面的OPC和各省层面的IPC并非完全独立、互不干扰的关系,而是通过签订“谅解备忘录”建立起一个协商、合作、共享信息的框架,以便就PIPEDA和PHIPA规范下的共同事项展开互助。
1.4 多方利益相关者的配合协作
数据治理和隐私保护是涉及多方利益相关者的行为,平衡处理好各方利益、协商达成目标一致性,有助于在保护隐私的前提下最大程度地促进政府透明度的提升和责任问责制的实现。对此,加拿大政府通过建立数据整合团队、政府机构之间转发和转移请求等方式施策。
一方面,组建“数据整合团队”(Data integration units)。数据整合团队是负责整合和管理组织内部或跨部门数据的特定团体或部门,既可以来自政府内部,又可以来自外部数据集成商。FIPPA第3(1)条规定,数据整合团队可以收集个人信息,创建并访问去身份标识化的数据集。对此,加拿大安大略省政府和消费者服务部于2019年发布一系列“数据整合条款”(Data integration provisions),规定了具体要求和限制。组建数据整合团队有助于提高加拿大政府利用现有数据的能力,使更广泛的外部数据集成商能及时访问高质量的去身份标识化的数据集。
另一方面,加拿大政府机构之间建立了转发请求和转移请求的处理机制。若申请者将信息自由(Freedom of Information,FOI)请求发送至无相关记录的机构,转发请求和转移请求处理机制便会启动。转发请求(Forwarding a Request)根据FIPPA第25(1)条、MFIPPA第18(2)条规定进行设置,若收到请求的机构尚无对记录的保管权或控制权,则需要查询确认其他机构是否拥有该项记录,并将该请求转发给其他机构。这种转发请求是强制性的,收到请求的机构不能仅答复申请者“本机构没有相关记录”。转移请求(Transferring a Request)根 据FIPPA第25(2)条 、MFIPPA第18(3)条规定设置,若收到请求的机构拥有该项记录,但认为其他机构对该记录有更大的利益相关性,则可以将其全部或部分请求转移至其他机构。这种转移请求并非强制性的,却有助于保护机构免受损害,因为申请者可能会要求多个机构提供相同的记录,并从其中不一致的披露中获取收益。允许机构将请求转移至更合适的机构,既能避免机构之间的重复工作,又能为申请者提供更恰当的记录。此外,该机制规定了各自机构的处理时限为收到请求后的15天内。
1.5 信息获取与隐私保护的平衡
一方面,在法规政策中强调信息获取与隐私保护的平衡原则。首先,从AIA和PA并列放置、ATIP行动倡议兼顾信息获取和隐私保护可以看出,加拿大政府致力于追求二者的平衡。其次,IPC发布的政策文本《保护和平衡获取权和隐私权:公众知情权的作用》(Protecting and Balancing Access and Privacy Rights:The Role of the Public’s Right to Know)[22]也指出,在保护隐私的同时确保不会妨碍公众利益。再次,违规查阅个人隐私的行为将受到处罚。IPC发布的《健康信息与隐私》(Health Information and Privacy,Order HO-010)显示[23],若患者档案被不当调阅,则该患者有权知道调阅档案的工作人员身份及其被执行惩罚的细节(如罚款数额)。
另一方面,在实践中采用“数据编辑”(Data redaction)的方式将个人敏感信息去身份标识化。当某份记录的部分内容既涉及个人隐私又面临信息获取需求时,加拿大政府机构通常会在修改或模糊文本的部分内容后向申请人提供利用需求的服务。
2 加拿大数据治理与隐私保护的经验借鉴
数据治理与隐私保护是世界各国在数字化背景下面临的共同议题,以批判和辩证的态度看待加拿大政府采取的行动措施,再结合我国相关政策法规及其实践情况进行思考,有助于形成对我国数据治理与隐私保护行动更为全面和准确的认知。
2.1 将隐私保护纳入数据法体系
我国尚未形成关于数据治理与隐私保护的专门性、系统性法律,相关规定分散在《中华人民共和国民法典》《中华人民共和国保守国家秘密法》《中华人民共和国档案法》《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》等法律中。其一,《中华人民共和国民法典》仅以宣示性规定的方式从形式上调整了数据关系,第一百二十七条规定“法律对数据、网络虚拟财产的保护有规定的,依照其规定”,除此之外,并无直接涉及数据的条文,第一千零三十二条和第一千零三十三条对自然人享有的隐私权及其侵害行为进行了规定。其二,《中华人民共和国档案法》《中华人民共和国保守国家秘密法》《中华人民共和国个人信息保护法》虽然规定了个人隐私在收集、使用、处理等方面的要求,但缺乏针对数据形式个人隐私的解释说明。其三,《中华人民共和国数据安全法》和《中华人民共和国网络安全法》旨在保障网络和数据安全而对数据处理活动进行规范,尚未对个人隐私数据的保护作出规定。
数据是与一般有体物、信息、知识产品、网络虚拟财产等紧密相关但又有区别的客体,除人格属性之外,数据在数字经济时代还体现出鲜明的财产属性和巨大的经济潜力,逐渐成为一个新型生产要素,呈现出资产化、资本化、权利化的趋势。上述现象造成现行法律法规的困境,意味着数据权不能直接适用于物权、知识产权、人格权等传统权利类型。然而,若只对相关法律条款进行“打补丁式”的解释性说明,则会存在两方面弊端:其一,数据本身具有属性复杂和影响广泛的特点,对所涉及的所有法律法规条款进行修改,不仅增加了立法成本,还不利于维护法律的稳定性;其二,“路径依赖式”的调整不利于数据法的完善和长远发展,也无法满足日益增长的数据治理需求。
基于上述分析,需从以下几方面进行完善:一要认可数据法作为独立的法律领域,逐步建构以基本法律为主干,以专门性法律为枝条、地方性法规等其他规范性文件为叶的数据法规范体系。二要将隐私保护作为重要议题纳入数据法体系之中,可以借鉴加拿大发布DPA等法律法规的举措,增加技术和数据环境中的隐私保护规定。三要注重数据在人格法益和财产法益之间的双向平衡,隐私保护固然重要,但也不应成为数据法益保护的核心,可考虑适当条件的知情同意保护。
2.2 组建多重制度作为灵活补充
立法在推动数据治理和隐私保护方面起着重要作用,但也存在滞后、复杂、抽象、缺乏变通等局限性,因此需要组建多重制度作为灵活补充。以加拿大多重特设制度的组合与调用为镜鉴,针对我国情况提出如下建议。
一方面,制定数据治理和隐私保护的行动计划。加拿大政府将“加强隐私泄露的预防和管理”作为政府行动计划的重要内容,从提高认识,改善培训,优化政策、指导和工具,以及与OPC合作等方面发力。无独有偶,美国联邦政府也于2021年制定了“联邦数据战略”(Federal Data Strategy,FDS)和“2021地平线报告(信息安全版)”(2021 EDUCAUSE Horizon Report®:Information Security Edition)以满足保护数据安全、隐私和保密的迫切需要。我国近年来也陆续发布了《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》《数字中国建设整体布局规划》等规划性文件,但其着眼于宏观与整体的数字经济、数字社会、数字政府建设目标,其中对隐私保护的关注多被数据安全的治理需求所取代。对此,笔者建议在数据治理体系建设,尤其是数据安全保障体系建设的过程中,有针对性地制定个人隐私数据保护行动计划,为数据治理和隐私保护行动提供战略支撑。
另一方面,建立健全个人信息保护影响评估程序。加拿大政府定期开展“隐私影响评估”(Privacy Impact Assessment,PIA),评估某项进程或服务如何影响个人隐私,从而避免或减轻其负面影响,《隐私影响评估指令》(Directive on Privacy Impact Assessment)[24]为开展PIA提供了详细指导。从实践效果来看,PIA提升了透明度,推进了问责制的实行,有助于增强公众对政府数据治理行为的信心。《中华人民共和国个人信息保护法》第五十五条和第五十六条规定了“个人信息保护影响评估”的法定情形和评估内容,但应当如何开展评估、遵循怎样的评估流程,尚未形成明确和统一的规范。对此,建议结合《信息安全技术 个人信息安全影响评估指南》(GB/T 39335—2020)、《信息安全技术个人信息安全规范》(GB/T 35273—2020 )等标准文件,建立健全个人信息保护影响评估程序,形成包含创建、执行、完成、汇报、公开、共享在内的全流程评估机制。
2.3 强化监管机构的专业性职能
数据监管机构在数字时代扮演着至关重要的角色,不仅有助于保护个人隐私和数据安全,而且能促进创新发展、维护公平竞争,建立起公众对数据治理的信任。加拿大政府注重发挥OPC和IPC的监管职能,为加拿大数据治理和隐私保护提供了专业化人员支持。
观之我国,数据治理和隐私保护的监管机构设置与职能分工情况更为复杂,具体表现如下:其一,《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律规定了各自的监管机构及其职责,涉及国家互联网信息办公室、公安部、工业和信息化部、国家市场监督管理总局、国家密码管理局、国家计算机网络应急技术处理协调中心等多个部门;其二,2023年,我国工业和信息化部印发的《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》反映了国家知识产权局等涉及数据安全监管的更多主体;其三,2023年10月,国家数据局挂牌成立,中共中央、国务院印发的《党和国家机构改革方案》同样规定了其参与数据治理的职能。对此,需进一步明确和厘清数据治理和隐私保护相关监管机构的职能分工,切实提高职能任务的专门化、运力运行的集约化、工作网络的集群化、资源运作的聚集化程度。
2.4 积极调动多方主体协同合作
数字时代政府数据治理相关规制任务的拓展,愈发需要创造一种兼具强制与合作的方法,超越传统的单方命令和控制体系,增强法律执行效果,而加拿大政府组建数据整合团队、建立请求转发和转移机制的做法便是良好示范。在政策方面,2023年,我国发布的《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》提出要“构建政府、企业、社会多方协同的治理模式”;在法律方面,《中华人民共和国数据安全法》第五条指出要“建立国家数据安全工作协调机制”。由此可见,我国已经意识到发挥多方主体力量开展数据协同治理的重要性。
一方面,需要整体制定涵盖不同经济主体、平衡不同相关利益的数据治理协同框架。例如,加拿大数据治理与隐私保护行动涵盖了内阁、首席行政官、首席隐私官、首席数据官、信息获取协调员、信息和隐私专员、档案馆员、信息技术团队、政策共同体、法院等多重角色。数据治理与隐私保护行动需要全社会的共同参与,我国应广泛吸收和采纳各方意见和建议,以确保治理方案的合理性、有效性,营造日益重视数据治理与隐私保护的社会氛围。
另一方面,在数据治理协同框架基础上,应厘清政府、企业、个人等主体在数据使用与流转过程中的权责关系,细化补充具体规则[25]。从立法实践来看,我国相关法律法规对数据治理尤其是个人隐私保护中的政府监管责任、部门分工、监管工具等缺乏清晰表述[26]。对此,可以以专项治理公告等形式补充实践探索中逐渐明晰的协作方式。例如,2019年,中央网信办、工业和信息化部、公安部、国家市场监督管理总局等四部门联合发布的《关于开展App违法违规收集使用个人信息专项治理的公告》就弥补了此前《中华人民共和国网络安全法》中不甚具体的规定。
2.5 平衡信息获取与隐私保护的需求
掌握好信息获取与隐私保护的平衡之术[27],不能无限度满足信息获取需求而侵犯隐私,也不能以隐私风险为由拒绝提供合理的信息获取服务。加拿大FIPPA的规定很好地体现了信息获取与隐私保护的平衡,加拿大公民对政府机构的信息访问权限不包括司法记录(如当选官员和立法议会官员的相关记录)、教育考试记录、档案中的私人记录。多伦多广播公司(CBC)于2018年7月提交了访问总理道格•福特(Douglas Richard Ford)授权信的信息获取请求,政府以FIPPA“任何‘揭示执行委员会或其审议的实质内容’的记录均免于公开披露”的规定为由,拒绝了该请求,随后CBC提起诉讼。2024年2月,多伦多最高法院裁定总理道格•福特的授权信保密[28],遵循FIPPA对内阁记录豁免的规定不予以公开。这说明,加拿大政府虽然重视对FOI的回应,但是也并非不受约束地满足任何请求。
对此,我国可以借助数据处理技术或机制保护个人隐私。如通过数据编辑技术、增加个人信息噪音的差异隐私技术实现个人身份去标识化,运用安全港方法(Safe Harbor Method)[29]允许数据传输方通过遵守特定的隐私保护标准来证明其数据处理行为符合特定的数据隐私法规。此外,严守政府信息公开的豁免底线,在理由充分确凿的情况下拒绝不合理的信息获取请求。
3 结语
随着数字化转型的不断升级,当前所处的世界正在从流程驱动(process-driven)逐步发展为数据驱动(data -driven)。采集数据作为生产资料,充分发挥数据要素的价值提炼规律、获取洞见、作出决策,将成为未来数字中国发展的生态图景。在此过程中,如何建立起从数据出发、以数据为核心的治理体系,如何更好地保护个人隐私数据,是亟须回应的时代挑战。本研究仅从加拿大数据治理与隐私保护的法律法规及其实践情况出发,试图抛砖引玉,考察国际前沿动态,而如何建立与完善数据治理与隐私保护框架、如何与《欧盟通用数据保护条例》(General Data Protection Regulation,GDPR)等国际性法律法规接轨、如何处理跨境数据流转过程中的隐私保护等更多新兴问题,仍然值得学界进一步关注和研究。
参考文献
[1]田五星.提升数据安全治理效能(新知新觉)[EB/OL].(2023-09-05)[2024-02-19].http://www.cac.gov.cn/2023-09/05/c_1695567627432772.htm.
[2]韩永军. 隐私保护:让数据治理臻于至善[N].人民邮电,2021-10-29(3).
[3] GUO Z L,HAO J,KENNEDYL.Protection path of personal data and privacy in China:Moving from monism to dualism in civil law and then in criminal law[J].The Computer Law & Security Report,2024,52:105928.
[4] BATLLT S,WAEYENBERGE V A.EU-USdata privacy framework:A first legal assessment[J].European Journal of Risk Regulation,2023,15(1):1-10.
[5] ROBERTSA.Privacy,Data Retention and Domination: Digital Rights Ireland Ltd v Minister for Communications[J].ModernLaw Review,2015,78(3):535-548.
[6] KO H,LEINERJ,KIME,et al.Structure and enforcement of data privacy law in South Korea[J].International Data Privacy Law,2017,7(2):100-114.
[7]孙继周.日本数据隐私法律:概况、内容及启示[J].现代情报,2016,36(6):140-143.
[8] WONG Y QB.Data privacy law in Singapore:the Personal Data Protection Act2012[J].International Data Privacy Law,2017,7(4):287-302.
[9] VOSSWG.European Union Data Privacy Law Reform:General Data Protection Regulation,Privacy Shield,and the Right to Delisting[J].The Business Lawyer,2016,72(1):221-234.
[10] ABDULRAUFLA.Giving“teeth”to the African Union towards advancing compliance with data privacy norms[J].Information &Communications Technology Law,2021,30(2):87-107.
[11]刘泽刚.大数据隐私的身份悖谬及其法律对策[J].浙江社会科学,2019(12):21-30,155.
[12]王天琦.政府数据开放中个人隐私保护法律问题研究[D].大连:大连海洋大学,2023.
[13]陈佳欣.大数据时代下隐私的群体形态及法律回应[C].《智慧法治》集刊2023年第1卷:数学法学研究文集 专题资料汇编.中国海洋大学法学院,2023:12.
[14] COHENHG, ZALNIERIUTEM.Personal data-right to be forgotten-internet search engine operators-dede-referencing of search results-territorial scope of application-data privacy-General Data Protection Regulation (EU)[J].The American Journal of International Law,2020,114(2):261.
[15]王宁.人事档案数字化管理中数据安全与隐私保护研究[J].山西档案,2023(6):176-180.
[16]张丽娜.大数据时代高校人事档案信息化建设中的个人信息隐私权保护[J].山西档案,2018(2):70-72.
[17]王向女,李佳芮.医疗大数据时代病例档案及其隐私权保护机制探究[J].山西档案,2020(5):113-119.
[18]张乾.居民健康档案管理中隐私权的保护研究[J].山西档案,2019(5):154-160.
[19] FOI Assist,Forwarding or transferring requests[EB/OL].(2022-02-04)[2024-02-21].https://foiassist.ca/2022/02/04/forwarding-or-transferring-requests/.
[20] Information, Privacy and Archives Division,Ministry of Government and Consumer Services.Freedom of Information and Protection of Privacy Manual[EB/OL].[2024-02-21].https://files.ontario.ca/books/mgcs-foi-privacy-manual-en-2021-09-02.pdf.
[21] IPSS.AINS and iPSS team up[EB/OL].[2024-02-21].https://www.ipss.ca/ains-and-ipss-team-up/.
[22] Information and Privacy Commissioner of Ontario.Protecting and Balancing Access and Privacy Rights:The Role of the Public's Right to Know[EB/OL].(2017-11-07)[2024-02-25].https://www.ipc.on.ca/wp-content/uploads/2017/11/2017-11-07-uoit-final-web.pdf.
[23] Information and Privacy Commissioner of Ontario.Your health privacy rights in Ontario[EB/OL].[2024-02-25].https://www.ipc.on.ca/health-individuals/file-a-health-privacy-complaint/your-health-privacy-rights-in-ontario/.
[24] Government of Canada. Directive on Privacy Impact Assessment[EB/OL].[2024-02-24].https://www.tbs-sct.canada.ca/pol/doc-eng.aspx?id=18308.
[25]赵鹏.个人数据保护的合作治理模式研究[EB/OL].(2023-04-12)[2024-02-25].http://fzzfyjy.cupl.edu.cn/info/1162/15366.htm.
[26]徐晓日,张赟.个人信息保护的适应性治理路径:制度创新、能力适配与责任重构[J].电子政务,2024(3):1-14.
[27] AHNNY,PARKJE,LEEDH,et al.Balancing Personal Privacy and Public Safety During COVID-19:The Caseof South Korea[J].IEEE access: practical innovations,open solutions,2020,8:171325-171333.
[28] Nicole Brockbank.Supreme Court rules Premier Doug Ford's mandate letters to be kept secret[EB/OL].[2024-02-21].https://www.cbc.ca/news/canada/toronto/supreme-court-ford-mandate-letters-secret-1.7101970.
[29] Office for Civil Rights.Guidance Regarding Methods for De-Identification of Protected Health Information in Accordance With the Health Insurance Portability and Accountability Act (HIPAA) Privacy Rule[EB/OL].(2020-06-08)[2024-02-25].https://www.hhs.gov/guidance/document/guidance-regarding-methods-de-identification-protected-health-information-accordance-0.
【基金项目】中国人民大学2023年度拔尖创新人才培育资助计划成果。
【作者简介】姚静(1998—),女,汉族,四川攀枝花人,中国人民大学信息资源管理学院博士在读,研究方向:档案学基础理论、档案法学等;加小双(1989—),女,汉族,湖北随州人,中国人民大学信息资源管理学院副教授,博士,研究方向:档案学基础理论、档案治理等。
